In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verfügung gestellte Informationsbasis für den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest.
Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer über das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst zusammen suchen. Seien es IP-Adressen, DNS-Einträge, verwendete Programmiersprachen über Stellenanzeigen.. die Möglichkeiten zum Information Gathering sind umfangreich, aber auch zeitaufwendig. Und erhöhen damit die Kosten eines Pentests, um zum gleichen Ergebnis wie beim Whitebox- oder Greybox-Ansatz zu kommen.
Der Whitebox-Pentest ist das Gegenteil vom Blackbox-Pentest: Hier erhält der Penetrationstester klassischerweise einfach alle Informationen und Daten, die er eventuell benötigen könnte: Dokumentation zu den IT-Systemen, Informationen über Konfigurationseinstellungen, Netzwerkdiagramme oder z.B. gar den Quelltext der vom Auftraggeber betriebenen Web-Anwendungen. Ein Pentester landet schnell im Informationsüberfluss, der wiederum Zeit und damit Geld kostet.
Ein guter Kompromiss zum Whitebox- und Blackbox-Pentest, ist der Greybox-Pentest. Der Penetrationstester enthält hier in der Regel mindestens alle Informationen, die ihm einfach nur wertvolle Zeit ersparen und er ohnehin gefunden hätte. Zudem muss ein Auftraggeber nicht alle internen Informationen und Dokumentationen aus der Hand geben. Typischerweise kann hier auch während des eigentlichen Test vom Pentester weitere Informationen eingeholt werden, wie z.B. welches Datenbanksystem eine Anwendung verwendet. So kann er zielgerichteter Testen und möglichst effizient alle Schwachstellen in IT-Systemen und IT-Anwendungen identifizieren.
